AWS ajoute protection contre les maliciels et visibilité pour les informations personnelles
Lors du salon re:Inforce 2022, AWS a levé le voile sur de nouvelles fonctions de protection contre les logiciels malveillants pour le stockage en mode blocs, et un moyen de trouver les informations personnelles stockées avec S3.
À l’occasion du salon re:Inforce 2022, qui se déroulait la semaine dernière, AWS a présenté de nouveaux outils visant à donner aux analystes de sécurité et aux administrateurs de stockage une plus grande visibilité sur leurs ressources de stockage objet et renforcer le stockage en bloc contre les logiciels malveillants.
D’un côté, une capacité de détection des maliciels vient ainsi enrichir GuardDuty pour Amazon Elastic Block Storage (EBS). De l’autre, il s’agit de valider les données sensibles stockées au sein d’Amazon S3 avec Amazon Macie. Macie, un service ajouté à AWS en 2018, aide les utilisateurs à localiser et à protéger les données sensibles dans le stockage objet.
Aucun de ces ajouts ne remplace une posture de sécurité appropriée contre les ransomwares, mais ils peuvent renforcer encore la protection les données des entreprises contre les attaques, estime Krista Macomber, analyste principale chez Evaluator Group. C’est d’autant plus important qu’AWS a commencé à proposer ses propres services et outils de reprise après sinistre.
Pour Krista Macomber, parler de durcissement n’est pas usurpé, car ces annonces « semblent constituer un pas en avant pour AWS afin de répondre à la menace des ransomwares ». AWS a publié son propre service de reprise après sinistre, AWS Elastic Disaster Recovery, en décembre dernier.
Ces nouveaux ajouts combinés à la reprise après sinistre, ainsi qu’un regain d’intérêt pour des coûts de stockage moins élevés pour les sauvegardes et les services de stockage à long terme, constituent une valeur ajoutée pour les clients potentiels, estime ainsi Krista Macomber.
Les services de sauvegarde d’Hyperscaler ont cependant encore un long chemin à parcourir avant d’être adoptés par un plus grand nombre de clients : « pour les hyperscalers, l’opportunité de sauvegarde est complémentaire ». Mais la question de la protection des données peut encore être un frein, et cela d’autant plus que « nous avons vu des administrateurs construire des carrières autour de certaines solutions de protection des données ; cela ajoute à l’adhérence ».
Outils de détection pour GuardDuty
La nouvelle fonctionnalité Malware Detection de GuardDuty, pour les volumes EBS, surveille les infections et les attaques potentielles de maliciels à partir des traitements EBS dans les instances EC2. Cette nouvelle fonctionnalité est automatiquement déclenchée au sein de GuardDuty lorsqu’une activité suspecte est détectée, telle qu’une instance EC2 qui tente une attaque en déni de service contre d’autres instances EC2.
Le service ajoute des services de détection de base des logiciels malveillants pour les instances EC2, ainsi que pour les services de conteneurs tels qu’Amazon Elastic Kubernetes. Les porte-parole d’AWS ont souligné que le service ne remplace pas les autres services de protection contre les logiciels malveillants.
Les inconvénients spécifiques par rapport au service traditionnel comprennent l’incapacité d’analyser et de détecter les fichiers dès l’entrée dans l’environnement de l’utilisateur, un manque de suivi du comportement du système et aucune capacité de mise en quarantaine ou de remédiation, ont ainsi précisé Sujay Oshi, chef de produit senior chez AWS, et Scott Ward, architecte principal de solutions chez AWS, lors d’une présentation.
En outre, si le service peut prendre en charge EBS, la prise en charge du stockage objet S3 n’est pas pour demain, selon Kurt Kufeld, vice-président d’AWS Platform. Le stockage S3 a ses propres défis uniques, ce qui rend l’analyse difficile – en particulier pour les entreprises travaillant avec des exaoctets de stockage objet, a-t-il précisé lors d’une table ronde : « l’analyse de S3 présente des difficultés. Nos plus gros clients ont beaucoup de stockage S3. Lorsque vous recherchez des menaces, vous ne pouvez pas vraiment le faire. Je ne suis pas si sûr que cela soit rentable pour les clients ».
Malware Detection for EBS Volumes utilise des instantanés de volumes EBS de moins de 1 To pour les analyses de logiciels malveillants. Cette capacité ne nécessite pas de logiciel de sécurité supplémentaire ou d’agents de surveillance susceptibles d’affecter les performances, selon AWS.
Le coût est déterminé selon le nombre de gigaoctets analysés, et non par la taille des volumes EBS, et pour les instantanés EBS tant qu’ils sont conservés dans le compte du client. Tous les instantanés EBS créés par GuardDuty sont automatiquement supprimés après avoir été analysés, à moins que la rétention des instantanés ne soit activée.
Ne pas exposer de données sensibles
Pour ce qui est du stockage S3, justement, Macie peut désormais récupérer temporairement jusqu’à 10 exemples spécifiques de données sensibles sans qu’il soit nécessaire de localiser manuellement les informations dans l’ensemble de données.
Cette fonctionnalité permet d’examiner les données contenues dans le stockage objet S3 sans extraire manuellement les éléments individuels. Amazon Macie examine principalement les ressources de stockage S3 accessibles publiquement, non chiffrées, ou accessibles en dehors de l’organisation de l’utilisateur. Macie recherche notamment les noms, les adresses ou les numéros de carte de crédit.
La fonction de découverte des données sensibles d’Amazon Macie est gratuite pour le premier 1 Go par compte, par région, chaque mois, avec des frais d’analyse supplémentaires au-delà.
Krista Macomber estime que ces outils peuvent s’avérer utiles en cas d’attaque avec ransomware ou simplement vol de données, pour aider à comprendre l’ampleur du problème et ses potentielles retombées : « lorsque vous êtes frappé par une attaque avec ransomware, c’est très utile pour aider à prioriser les opérations de récupération. Les attaques changent constamment, et la sécurité de l’information est devenue un sujet de conversation au niveau du conseil d’administration ».